使用现代身份验证（OAuth）来连接POP、IMAP或SMTP

我的博客园:https://www.cnblogs.com/CQman/

转载：

https://mp.weixin.qq.com/s?__biz=MzU0MzUxMzU2NA==&mid=2247485879&idx=1&sn=f1afe480d0b39ec54b3ee55c94cd3440&chksm=fb0b0704cc7c8e125211b497c496832cfc14f965772dc28bbd3274b92de011ddf2cb05d1a881&mpshare=1&scene=2&srcid=07107OHGWDElfz6XRoq9aJtI&sharer_sharetime=1657414303496&sharer_shareid=2c1d14bf668186cb790856d635b6c409#rd

 

Original Office365 Office365云服务技术支持

Office365云服务技术支持

Weixin ID VNET_O365Support

About Feature 由世纪互联运营的 Office 365 云服务技术支持

2022-07-10 08:45 Posted on 北京

收录于合集

 

我们之前已经向大家发布了Exchange Online 服务即将停用基本身份验证的说明和提醒。

Exchange Online服务即将停用基本身份验证

Office365，公众号：Office365云服务技术支持Exchange Online服务即将停用基本身份验证

而在诸多实际的生产场景中，绝大多数网络打印机厂商、OA 及其他集成系统、邮件客户端还不支持通过 OAuth 认证方式连接 POP、IMAP 或 SMTP。随着停用基本身份验证的时间临近，我们敦促和建议广大接口厂商和系统集成合作伙伴，尽快改用 OAuth 认证方式来连接 POP、IMAP 和 SMTP。

针对这种情况，今天就向大家说明一下，如何使用现代身份验证（OAuth) 来连接 POP、IMAP 和 SMTP。请注意，以下说明只是针对各大厂商对代码进行修改，一般用户无法直接使用 OAuth 方式来连接 POP、SMTP 等协议。

准备工作

如果您还不了解什么是 OAuth，请参考我们之前发布的文档 使用现代身份验证（OAuth）调用 EWS 服务 中的关于 OAuth 是什么 的部分说明：

使用现代身份验证（OAuth）调用 EWS 服务

Robin Dai，公众号：Office365云服务技术支持使用现代身份验证（OAuth）调用 EWS 服务

如果您对 OAuth 申请令牌凭证已经有了一定的了解，那么请继续以下的步骤。

首先注册一个 Azure AD 应用：

• 通过浏览器访问并登录以下网址：
  https://portal.azure.cn/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps

• 点击“新注册”，并输入名称，来注册出一个应用。

• 在证书和密码中创建一个客户端密码并记住这个密码

  

• 在API权限中添加权限：

• 点击添加权限

• 点击 Microsoft Graph

  

• 选择委托的权限中的 SMTP.Send 、POP.AccessAsUser.All 和 IMAP.AccessAsUser.All 勾选并保存。

• 在 API 权限中点击代表***授予管理员权限

请求OAuth令牌

请求OAuth令牌，是一个关键步骤。由于 Azure AD 的终结点本身存在1.0和2.0两个版本，在这里，我们推荐大家使用1.0版本，以避免在使用2.0版本时，错误的scope参数而导致请求到无效的令牌。

由于该令牌必须有用户参与，因此无法使用客户端密码的方式（grant_type=client_credential）调用，而仅能使用代码授予（grant_type=authorization_code）或用户密码凭据授予（grant_type=password）的方式获取。后面两者的区别在于代码授予一定会弹出要求用户登录的页面，而 用户密码凭据授予可以保持静默登录，但安全性将打折扣。

请求内容如下（以用户密码凭据授予为例，请将自己的租户 ID、注册应用 ID、客户端密码、用户名和密码替换示例中的{tenant ID}、{App ID}、{Client Secret}、user@abc.com和{user password}。)：

HTTP

POST https://login.partner.microsoftonline.cn/{tenant ID}/oauth2/token HTTP 1.1

Host: login.partner.microsoftonline.cn

Content-Type: application/x-www-form-urlencoded

client_id={App ID}

&client_secret={Client Secret}

&grant_type=password

&resource=https%3A%2F%2Fpartner.outlook.cn

&username=user%40abc.com

&password={user password}

cURL

curl -X POST -H "Content-Type: application/x-www-form-urlencoded" -d 'client_id={App ID}&resource=https%3A%2F%2Fpartner.outlook.cn%2F.default&client_secret={Client Secret}&grant_type=password&username=user%40abc.com&password={user password}'  'https://login.partner.microsoftonline.cn/{tenant}/oauth2/token'

使用OAuth令牌进行连接

在您得到 OAuth令牌后，您需要以 SASL XOAUTH2 的格式来转换和发送凭据。SASL XOAUTH2 以以下格式将用户名、访问令牌编码在一起：

Text

base64("user=" + userName + "^Aauth=Bearer " + accessToken + "^A^A")

^A 表示 Control + A () %x01 。

例如，使用访问令牌eyJ0eXAiOiJKV1QiLCJub25jZSI6IjlBOGtWal9hcXpVOWAA（此处缩略了很长一部分），访问的 user@abc.com, SASL XOAUTH2 格式为：

Text

base64("user=user@abc.com^Aauth=Bearer eyJ0eXAiOiJKV1QiLCJub25jZSI6IjlBOGtWal9hcXpVOWAA^A^A")

在 base64 编码后，这会转换为以下字符串：

Text

dXNlcj11c2VyQGFiYy5jb21eQWF1dGg9QmVhcmVyIGV5SjBlWEFpT2lKS1YxUWlMQ0p1YjI1alpTSTZJamxCT0d0V2FsOWhjWHBWT1dBQV5BXkE=

在连接不同协议时，连接的形式略有不同，具体请参考：

POP：

Text

AUTH XOAUTH2

<base64 string in XOAUTH2 format>

IMAP：

Text

AUTHENTICATE XOAUTH2 <base64 string in XOAUTH2 format>

SMTP：

Text

AUTH XOAUTH2 <base64 string in XOAUTH2 format>

目前就我们的测试，Java.mail 和 Mailkit 库可以支持SASL XOAUTH2方式的连接。以C# 调用 Mailkit 库，通过OAuth方式连接SMTP发送邮件为例，参考代码如下（已略过请求令牌的代码）：

C#

usingSystem;

usingSystem.Collections.Generic;

usingSystem.Linq;

usingSystem.Text;

usingSystem.Threading.Tasks;

usingSystem.Net;

usingMailKit.Net.Smtp;

usingMailKit.Security;

usingMimeKit;

usingMailKit;

namespaceOAuth2forMail

{

classProgram

{

staticvoidMain(string[] args)

{

varp = newProgram();

p.Sendmm();

}

voidSendmm()

{

MimeMessagemm = newMimeMessage();

mm.To.Add(newMailboxAddress("My Customer", "customer@abc.com"));

mm.From.Add(newMailboxAddress("Boss Wang", "user@abc.com"));

varbuilder = newBodyBuilder();

builder.TextBody = @"This is a test mail.";

mm.Subject = "Test to send mail with OAuth2";

mm.Body = builder.ToMessageBody();

SaslMechanismOAuth2oauth2 = newSaslMechanismOAuth2("user@abc.com",

"eyJ0eXAiOiJKV1QiLCJub25jZSI6IjlBOGtWal9hcXpVOWAA"

);

using (varclient = newSmtpClient(newProtocolLogger("smtp.log")))

{

client.Connect("smtp.partner.outlook.cn", 587, SecureSocketOptions.StartTls);

client.Authenticate(oauth2);

try

{

client.Send(mm);

Console.WriteLine("send success");

client.Disconnect(true);

}

catch (Exceptionex)

{

Console.WriteLine(ex.Message.ToString());

}

}

}

}

}

综上，建议各大厂商、开发人员尽快修改您的代码，以便支持OAuth的方式来连接POP、IMAP和SMTP协议。

 

 

 

Got It

Scan with Weixin to
use this Mini Program

 

 

 

Cancel Allow

 

 

 

Cancel Allow

: ， .   Video Mini Program Like ，轻点两下取消赞 Wow ，轻点两下取消在看